استفاده از فناوری اطلاعات در ارائه سرویسهای سازمانی، علاوه بر امکانات و قابلیتهایی که در اختيار می‌گذارد، آنان را در معرض مشکلات و خطراتی نيز قرار می‌دهد. شبکه‌های کامپیوتری اگرچه یک بستر یکپارچه را برای ارتباط اجزای مختلف یک کسب و کار فراهم می‌آوردند و یک مزیت رقابتی محسوب می‌شوند. برنامه‌های کاربردی تحت وب نیز نقش حیاتی در سازمان‌های مدرن بازی می‌کنند و پنجره ارتباطی سازمان‌ها و مخاطبانشان جهت ارائه خدمات بر خط هستند.

علیرغم مزایا و قابلیتهای منحصر بفرد ارائه خدمات بر بستر اینترنت، سامانه های تحت وب روزنه هایی جهت نفوذ نیز در اختیار مهاجمان قرار می دهند و سارقان اینترنتی با نفوذ به این برنامه‌ها می‌توانند عملکرد یک کسب و کار را مختل و اطلاعات حیاتی سازمان و مشتریانش را به سرقت برند.

اولین گام جهت امن سازی سامانه ها و زیرساختها در برابر چنین نفوذهایی، انجام تست نفوذپذیری است. این روش یکی از راه‌های شناخته شده و استاندارد برای شناسایی نقاط آسیب‌پذیری و کمک به رفع آن‌هاست.

در تست نفوذ، با استفاده از تکنیک‌های فنی، حملات واقعی به زیرساخت‌های فناوری اطلاعات سازمان‌ شبیه‌سازی می‌شود. این امر به سازمان‌ها کمک می‌کند تا با تشخیص به موقع یک آسیب‌پذیری، از دسترسی و آسیب‌رسانی هکرها به سرمایه‌های سازمان جلوگیری نمایند. این آسیب‌پذیری‌ها ممکن است ناشی از فناوری مورد استفاده، ضعف در پیکربندی تجهیزات و یا ضعف در برنامه نویسی و منطق کسب و کار (Business Logic) پیش بینی شده در آن باشد.

حاصل تجربه چندین ساله آشنا ایمن در خصوص مشاوره و پیاده‌سازی استانداردهای امنیتی همچونITSM ،ISMS   وPCI-DSS ، ارائه چارچوبی بومی جهت انجام ارزیابی‌های امنیتی و تدوین راه ‌حل‌های امن سازی مناسب است. این چارچوب بومی (تحت عنوان Ashna Secure Framework (ASF) ) شرایط لازم را جهت استقرار استانداردهای امنیتی مرتبط و ارتقای سطح امنیت سایبری سازمانها فراهم می‌سازد.

یکی از اجزای مهم این چارچوب که با بهره‌گیری از تجارب چندین ساله اجرایی و با تکیه بر استانداردها و Best Practice های بین‌ المللی همچون OWASP،ISSAF ،OSSTMM  و PWK تدوین شده، متدولوژی آزمون نفوذپذیری است که تحت عنوان ASPTM (ASHNA Secure Penetration Testing Methodology) معرفی می‌شود. این متدولوژی به بیان روش‌های فنی و اجرایی آزمون نفوذپذیری در آشنا ایمن می‌پردازد و دامنه مجموعه‌ای از خدمات عرضه ‌شده در این حوزه را شفاف می‌نماید.

در این متدولوژی موارد زیر مد نظر قرار گرفته است:

• مفاهیم پایه در آزمون نفوذپذیری نظیر انواع تستها، انواع هکرها، عمق نفوذ و غیره
• اطلاعات اولیه موردنیاز جهت انواع آزمون نفوذپذیری جعبه سیاه، جعبه خاکستری و جعبه سفید
• دامنه انجام ارزیابی‌ها
• ابزارهای مورد استفاده در تست نفوذ مانند پویشگرهای تجاری مختلف
• مدل سازی تهدیدات بر اساس الگوهای تجاری
• شبیه‌سازی حملات و تهدیدات
• استفاده ازآسیب‌پذیری‌های اختصاصی (0day)
• تشریح مراحل انجام آزمون نفوذ
• معیارهای ارزیابی و امتیازدهی آسیب­ پذیری بر اساس استانداردهای روز دنیا
• سطح بندی آسیب پذیری ها جهت تحلیل ریسک و اولویت بندی های اجرایی
• ارائه شواهد مقتضی جهت اثبات آسیب پذیری
• معرفی روش‌های رفع آسیب‌پذیری‌های شناسایی شده
• گزارش­دهی کلیه فعالیت‌های انجام شده در طول انجام پروژه
•  
• 

استاندارد OWASP (بعنوان شناخته شده ترین استاندارد در حوزه تست نفوذ سامانه های تحت وب) آسیب پذیری ها را در 12 گروه به شرح زیر دسته بندی می کند:

• مدیریت تنظیمات و پیاده‌سازی سامانه
• هویت سنجی و اصالت سنجی
• بررسی حقوق دسترسی و وارسی کرانه ها
• مدیریت مناسب کوکی و نشست
• بررسی صحت ورودی/خروجی
• مدیریت خطاها
• رمزنگاری و محرمانگی
• منطق کسب و کار
• انکار سرویس
• حملات سمت کاربر(کلاینت)
• حملات سمت رابط کاربری (API)

که هر کدام از این گروههای 12 گانه، شامل حملات و آسیب پذیری های متعددی است.

در پایان ارزیابی های امنیتی، امتیاز امنیتی سامانه در برابر هر دسته از این آسیب پذیری ها بصورت نمودارهای متعدد (مانند نمودار زیر) نمایش داده می شود تا یک شمای بصری از شرایط امنیتی سامانه و نقاط قوت و ضعف آن (از منظر امنیتی) ارائه نماید.

این نمودار گرانیگاه توجه مسؤلین امنیت سایبری سامانه را هدفگذاری خواهد کرد تا برای آسیب پذیری هایی که امتیاز کمتری کسب شده است، توجه و دقت بیشتری را معطوف دارند.

در یک گزارش متداول از تست نفوذ یک سامانه، علاوه بر بخشهای فنی، یک خلاصه مدیریتی جهت اطلاع مدیران ارشد سازمان از شرایط امنیتی سایبری سامانه هدف نیز ارائه می شود. در این خلاصه مدیریتی، یک امتیاز امنیتی کلی به سامانه تعلق می گیرد که در ارزیابی های بعدی می تواند ملاک رصد امن سازی سامانه و تحقق اهداف تعریف شده برای پروژه باشد.

که این امتیاز ناشی از وجود آسیب پذیری هایی با درجه اهمیتهای مختلف است.

اما امتیاز امنیتی یک سامانه از منظر تاب آوری در برابر حملات با سطوح اهمیتی متفاوت نیز موضوع مهم دیگری است که به شکل نمودار میله ای زیر قابل ارائه است:

این نمودار نشان می دهد که متولیان امنیت سازمان باید عمده تمرکز و توجه خود را بر روی کدام دسته از آسیب پذیری ها قرار دهند. چنانکه نمودار بیان می کند که کمترین امتیاز این سامانه مربوط به آسیب پذیری های با اهمیت بالا و بعد از آن آسیب پذیری های با اهمیت کم است.

پس از انجام تستهای نفوذپذیری و بر اساس گزارش این ارزیابی ها، نوبت به پیاده سازی راهکارهای پیشنهادی جهت امن سازی آسیب پذیری هاست. این کار در تعامل بین تیم تست نفوذ و تیمهای توسعه سامانه و زیرساخت کارفرما انجام خواهد شد. به این ترتیب که با تشریح راه حلهای پیشنهادی برای تیمهای کارشناسی کارفرما و رفع ابهامات ایشان، در امن سازی سامانه تسریع خواهد شد.

جهت رسیدن به اطمینان بیشتر از امنیت سامانه، توصیه می شود که بعد از انجام امن سازی ها، ارزیابی مجدد انجام می شود تا از صحت اعمال راهکارهای امن سازی اطمینان حاصل شود.

در صورت نیاز کارفرما به ارائه خدمات امن سازی، تیم امن سازی آشنا ایمن علاوه بر بررسی چک لیستهای امنیتی، می تواند جهت پیاده سازی راهکارهای امن سازی در کنار تیم کارشناسی کارفرما قرار گیرد. این خدمات ممکن است به ممیزی زیرساختها و بازنگری معماری امنیت سازمان و به روز رسانی سرویسها منجر شود.

در متدولوژی ASPTM و با توجه به فناوری‌های موجود در سازمان/شرکت هدف و همچنین بر اساس محدوده آزمون نفوذپذیری، ممکن است علاوه بر ارزیابی امنیتی سامانه های تحت وب، سایر اجزا و عناصر مرتبط (مانند شبکه و اپلیکیشنهای موبایلی) نیز مورد ارزیابی قرار گیرد. ماژول­‌های مختلفی که جهت انجام ارزیابی های امنیتی ممکن است در یک پروژه مورد توجه قرار گیرند، عبارتند از:

• ارزیابی امنیت شیبکه و سرویس‌ها (Network and Services Security)
• ارزیابی امنیت پرسنلی و مهندسی اجتماعی (Personal Security and Social Engineering)
• ارزیابی امنیت برنامه‌های کاربردی تحت وب (Web Application Security)
• ارزیابی امنیت برنامه‌های کاربردی دسکتاپی (Desktop Application Security)
• ارزیابی امنبت برنامه‌های موبایلی (Mobile Application Security)
• ارزیابی امنیت شبکه و زیرساخت های کنترل صنعتی اسکادا (SCADA)
• ارزیابی امنیت زیرساخت فیزیکی مراکز داده (NCPI)

شرکت آشنا ایمن با دارا بودن مجوز ارائه خدمات عملیاتی افتا در خصوص ارزیابی و آزمون امنیتی (تست نفوذپذیری) از سوی سازمان فناوری اطلاعات و همچنین مجوز فعالیت از سازمان پدافند غیرعامل و شورایعالی انفورماتیک کشور، طیف وسیعی از خدمات ارزیابی امنیتی (تست نفوذ) و همچنین خدمات امن‌سازی (Hardening) را برای سازمان‌ها و بنگاه‌های اقتصادی ارائه می‌نماید.